WO2011072532A1 - 报文处理方法、接入设备和通信系统 - Google Patents

Description

报文处理方法、 接入设备和通信系统 本申请要求于 2009 年 12 月 18 日提交中国专利局、 申请号为 200910260629.9、 发明名称为"报文处理方法、接入设备和通信系统 "的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信技术领域， 特别涉及一种报文处理方法、 接入设备 和通信系统。

背景技术

在网络应用中， 为了与不同网段的网络进行通讯， 主机需要设置默认网关， 本网段的所有报文通过默认网关才能转发到其他网段。 当网关发生故障时， 整 个主机和外部网络的通讯都会中断。 在虚拟路由冗余协议（ Virtua l Router Redundancy Protocol ; 简称： VRRP ) 中， 则不需要改变组网情况， 也不需要在 主机上做任何配置， 仅在相关路由器上配置极少的几条命令， 就可以实现下一 跳网关的备用， 且不会给主机带来负担。 与其他方法相比， VRRP具有配置简单、 管理方便、 无需主机增加额外支持等优点。

在 VRRP应用过程中， 多台路由器通过优先级选举出主（mas ter )路由器， 只有主路由器可以发送 VRRP>¾文， 其他的备用 （backup )路由器禁止发送 VRRP 报文。 当主路由器收到优先级比自己更高的 VRRP报文后， 从主状态改变为备用 状态， 不再发送 VRRP>¾文、 并且丢弃所有目的介质访问控制 （Media Acces s Control ; 筒称： MAC )地址是虚拟路由器 MAC地址的数据包。 VRRP只需在路由器 上运行， 当主机由接入设备汇聚到路由器上时， 接入设备把来自连接路由器的 入端口 VRRP报文作为普通的业务报文向连接主机的出端口进行发送， 不对入端 口和出端口进行限制， VRRP才艮文可以被上网用户收到。 现有技术中， 在接入设备下行转发方向， 由于 VRRP报文的目的 MAC地址是 组播地址， 接入设备釆用组播方式把来自连接路由器的入端口的 VRRP报文作为 普通的业务报文向连接主机的出端口直接转发用户侧的各个上网用户， 即主机。 上网用户接收到 VRRP报文后， 可以将 VRRP报文的优先级修改为最大， 然后向 网络侧发送， 而上网用户修改优先级后的 VRRP才艮文可以使真正的主路由器从主 状态改变为备用状态， 不再转发业务报文， 从而使整个虚拟路由器下的上网用 户业务中断， 影响网络安全。

发明内容 本发明实施例提供一种报文处理方法、 接入设备和通信系统， 用以解决用 户接收到 VRRP报文影响网络安全和业务运行的问题， 增强网络安全性， 保证业 务的正常运行。 本发明实施例提供一种接入设备上的报文处理方法， 包括： 接入设备通过所述接入设备的第一网络端口接收网络侧的多播报文； 所述接入设备识别所述多播报文的协议类型； 如果识别到所述多播报文为虚拟路由冗余协议报文， 则根据用于虚拟路由 冗余协议报文转发的侦听端口列表将所述虚拟路由冗余协议报文通过所述接入 设备的第二网络端口发送给网络侧， 其中， 所述侦听端口列表记录有包括第一 网络端口和第二网络端口的端口信息； 如果识别到所述多播 文为非虚拟路由冗余协议 文， 则将所述非虚拟路 由冗余协议^艮文通过所述接入设备的用户端口发送给用户侧。 本发明实施例又提供一种接入设备， 包括： 至少两个网络端口， 用于连接网络侧设备； 用户端口， 用于连接用户终端； 识别单元， 用于识别从第一网络端口接收的多播报文的协议类型； 处理单元， 用于在所述多播报文为虚拟路由冗余协议报文时， 根据侦听端 口列表将所述虚拟路由冗余协议才艮文通过第二网络端口发送到网络侧； 在所述 多播^¾文为非虚拟路由冗余协议"¾文时， 将所述非虚拟路由冗余协议 文通过 所述用户端口发送到用户侧； 其中， 所述侦听端口列表记录有包括第一网络端 口和第二网络端口的端口信息。 本发明实施例还提供一种通信系统， 包括接入设备， 所述接入设备上设置 有第一网络端口和第二网络端口； 所述接入设备， 用于通过第一网络端口接收网络侧的多播报文； 识别所述 多播报文的协议类型， 如果所述多播报文为虚拟路由冗余协议报文， 则根据侦 听端口列表将所述虚拟路由冗余协议报文通过第二网络端口发送到网络侧； 如 果所述多播报文为非虚拟路由冗余协议报文， 则将所述非虚拟路由冗余协议报 文通过用户端口发送到用户侧， 其中， 所述侦听端口列表记录有包括第一网络 端口和第二网络端口在内的端口信息。 本发明实施例提供了报文处理方法、 接入设备和通信系统， 与第一路由器 连接的侦听端口接收 VRRP报文， 将 VRRP报文转发到与第二路由器连接的侦听 端口， 从而防止接入设备将 VRRP报文向所有用户广播， 节约网络带宽； 进而可 以防止 VRRP报文被用户侦听到， 而构造优先级高的 VRRP报文对路由器进行攻 击， 增强网络安全性， 保证业务的正常运行。

附图说明 图 1为本发明实施例中的网络架构示意图； 图 2为本发明一个实施例提供的报文处理方法的流程示意图； 图 3为本发明另一个实施例提供的报文处理方法中接入设备对原转发记录 表的处理的流程图；

图 4为本发明一个实施例提供的接入设备的结构示意图。

具体实施例

下面通过附图和实施例， 对本发明的技术方案做进一步的详细描述。

图 1为本发明实施例中的网络架构示意图， 包括接入设备 11和两个路由器 , 本领域普通技术人员可以知悉， 这里的也可以是一个路由器或者多个路由器， 与接入设备 11相连的路由器可以组成虚拟路由器。 其中接入设备 11通过端口 14 (第一网络端口）与第一路由器 12相连， 通过端口 19 (第二网络端口）与第二 路由器 17相连。 本发明实施例中第一路由器 12可以为主路由器， 能够发送 VRRP 报文， 第二路由器 17可以为备用路由器， 可以接收 VRRP报文。 此外本发明实施 例中， 接入设备上与虚拟路由器连接的端口为侦听端口， 比如图 1中的端口 14和 端口 19。 这里的虚拟路由器是指在组网时， 将与接入设备 11相连的一部分或者 全部路由器组成虚拟路由器； 与用户设备连接的端口叫做非侦听端口， 比如端 口 16。

本发明一个实施例提供一种报文处理方法， 所提供的方法能避免从侦听端 口收到的 ¥111^>¾文向用户端口转发。

图 2为本发明一个实施例提供的报文处理方法的流程示意图， 该报文处理方 法包括：

步驟 101、 接入设备通过第一网络端口接收来自网络侧的多播报文； 这里的多播 文包括目的地址为组播组地址的组播4艮文和目的地址没有指 向特定用户的广播 文， 可以是 VRRP>¾文、 地址解析协议（Addres s Resolut ion Protoco l ; 简称： ARP )才艮文、 TCP/IP报文、 用户数据包协议（User Datagram Protocol ; 简称： UDP )报文以及因特网组管理协议（ Internet Group Management Protocol ; 简称： IGMP )报文等。

步驟 103、 所述接入设备识别所述多播报文的协议类型是否为 VRRP报文， 如 果为 VRRP>¾文， 则执行步驟 105 , 如果为非 VRRP>¾文， 则执行步驟 107;

步驟 105、 接入设备根据侦听端口列表将收到的 VRRP报文通过第二网络端口 发送给网络侧以便该报文能够到达第二路由器；

侦听端口列表中记录有接入设备上的侦听端口的端口信息， 包括端口标识、 端口在接入设备上的框位、 端口在接入设备上的槽位等信息中的一种或多种。

这里的第二网络端口可以是一个或多个侦听端口， 接入设备收到 ¥1110^艮文 后， 向侦听端口列表中其它侦听端口广播该 VRRP报文。

如果接收 VPPR报文的端口为非侦听端口 , 即当接收 VRRP报文的端口不在侦 听端口列表中时， 接入设备可以将该 VRRP报文丢弃。

步驟 107、 接入设备将非 VRRP报文的多播报文通过用户端口发送给用户侧。 当所述多播报文为非 VRRP报文时， 接入设备则将该多播报文向用户端口广 播。 这里的非 VRRP报文可以是 ARP报文、 TCP/IP报文、 UDP报文以及 IGMP报文等。

本实施例中的侦听端口列表可以预先保存， 还可以根据连接状态实时更新。 在步驟 105中， 第一网络端口也可以直接向第二网络端口转发 VRRP报文， 然 后第二网络端口再将 VRRP报文发送给第二路由器。

此外， 为了防止侦听端口例如： 第一网絡端口和第二网絡端口之间广播下 行业务报文， 还可以在侦听端口之间设置隔离， 比如， 将侦听端口设置为禁止 自动转发业务报文等， 这样， 侦听端口收到 VRRP报文后， 不会直接发送给另一 个侦听端口 , 而是通过接入设备的侦听端口在多台路由器之间转发 VRRP报文， 从而避免接入设备不能刷新二层转发表项 , 无法进行二层 MAC地址自学习而导致 的广播风暴。

本实施例接入设备的第一网络端口接收来自网络侧的 VRRP报文， 如果第一 网络端口是侦听端口， 则根据侦听端口列表将 VRRP报文通过第二网络端口发送 上层网络， 可以防止接入设备将 VRRP报文向所有用户广播， 节约网络带宽； 而 且还可以防止 VRRP>¾文被用户侦听到， 而构造优先级高的 VRRP>¾文对路由器进 行攻击， 增强网络安全性， 保证业务的正常运行。 此外， 通过禁止侦听端口之 间自动转发业务报文， 可以在接入设备无法进行二层 MAC地址自学习时防止产生 广播风暴； 并且在接入设备的上行的侦听端口不能二层互通时， 可以使多台路 由器之间正常运行 VRRP协议。

本发明另一个实施例中 , 接入设备通过第一网络端口接收到 VRRP报文后 , 还可以对原转发表项进行处理。 图 3为本发明另一个实施例提供的报文处理方法 中接入设备对原转发记录表的处理的流程图， 包括：

步驟 201、 对接收到的 VRRP报文进行分析， 得到分析结果；

其中， 分析结果包括虚拟路由器 IP、 虚拟路由器介质访问控制地址、 虚拟 局域网标识和接收到所述虚拟路由冗余协议报文的端口的信息。

分析结果可用分析表项表示， 也就是说将一条 VRRP报文的分析结果作为一 个表项记录在分析表中；

步驟 203、 判断所述分析结果与原转发表记录的内容是否一致， 若一致， 则 维持所述原转发表记录的内容； 若不一致， 则执行步骤 205。

步驟 205、 根据所述分析结果更新原转发表记录的转发表项， 转发表项包括 二层转发表项和三层转发表项。

具体的， 接入设备根据虚拟路由器 IP、 虚拟路由器介质访问控制地址 MAC、 虚拟局域网标识 VLAN和接收到所述 VRRP报文的端口的信息更新二层转发表项， 并根据所述虚拟路由器 MAC、 VLAN和接收到所述 VRRP报文的端口的信息更新三层 转发表项， 这里的二层转发表项可以是二层 MAC地址表的转发表项， 三层转发表 项可以是三层 ARP表的表项。

进一步地， 若接入设备同时接收到所述虚拟路由冗余协议报文和地址解析 协议报文， 则优先根据所述地址解析协议报文更新所述原转发表记录的内容。

本发明实施例接入设备同时接收到 VRRP报文和 ARP>¾文时， 可以优先根据 ARP报文更新原转发记录表， 在没有接收到 ARP报文， 也可以根据接收到 VRRP报 文更新原转发记录表， 保证了三层转发表项的更新， 从而保证接入设备的侦听 端口连接的第一路由器的实时性， 可以将上行业务报文转发到最新的主路由器； 由于 VRRP报文比 ARP报文的间隔时间短很多， 可以减少业务中断时间， 保证业务 正常运行， 减少虚拟路由器 MAC地址的数据包的丢包率； 在多台路由器进行 VRRP 负载分担组网时， 可以防止由于接入设备不能自学习二层 MAC地址表项导致的广 播风暴， 节约带宽资源。

本发明一个实施例提供一种接入设备， 图 4为本发明一个实施例提供的接入 设备的结构示意图， 接入设备 40可以包括： 至少两个网络端口， 用于连接网络 侧设备； 用户端口， 用于连接用户终端。

具体地， 接入设备 40可以包括： 第一网络端口 31、 识别单元 34、 处理单元 32和第二网络端口 33。

第一网络端口 31 , 用于接收来自网络侧的多播报文； 识别单元 34 , 用于识别所述多播 >¾文的协议类型；

处理单元 32 , 用于在所述多播报文为虚拟路由冗余协议报文时， 根据侦听 端口列表将所述虚拟路由冗余协议报文通过第二网络端口 33发送到网络侧； 在 所述多播报文为非虚拟路由冗余协议报文时 , 将所述非虚拟路由冗余协议报文 通过用户端口发送到用户侧； 其中， 所述侦听端口列表记录有包括第一网络端 口 31和第二网络端口 33的端口信息。

本实施例中的第一网络端口 31可以连接主路由器， 第二网络端口 33可以连 接备用路由器。

处理单元 32还用于对接收到的所述虚拟路由冗余协议报文进行分析， 得到 分析表项， 判断所述分析表项与原转发表记录的内容是否一致， 若一致， 则维 持所述原转发表记录的内容； 若不一致， 则根据所述分析表项， 对原转发表记 录的内容进行更新。

处理单元 32还用于在所述多播 文为地址解析协议 文时， 根据所述地址 解析协议报文更新原转发表记录的内容。

本实施例接入设备接收来自第一路由器的 VRRP报文后 , 可以根据侦听端口 列表将 VRRP报文转发到其它的侦听端口， 可以防止接入设备将 VRRP报文向所有 用户广播， 节省网络带宽； 而且可以防止 VRRP报文被用户侦听到， 而构造优先 级高的 VRRP报文对路由器进行攻击， 增强网络安全性， 保证业务的正常运行。

本发明一个实施例提供一种通信系统， 该系统包括接入设备， 接入设备上 设置有第一网絡端口和第二网絡端口；

其中， 接入设备， 用于通过第一网络端口接收网络侧的多播报文； 识别所 述多播报文的协议类型， 如果所述多播报文为 VRRP报文， 则根据侦听端口列表 将所述 VRRP才艮文通过第二网络端口发送到网络侧； 如果所述多播才艮文为非 VRRP 报文， 则将所述非 VRRP报文通过用户端口发送到用户侧， 其中， 所述侦听端口 列表记录有包括第一网络端口和第二网络端口在内的端口信息。 进一步地， 所述接入设备还用于， 若同时接收到 VRRP报文和 ARP报文， 则优 先根据所述 ARP报文更新原转发表记录的内容。 本实施例接入设备接收来自网络侧的 VRRP报文， 通过第二网络端口可以将 VRRP报文转发到网络侧 , 第一网络端口和第二网络端口是侦听端口， 可以防止 接入设备将 VRRP报文向所有用户广播， 节约网络带宽； 进而可以防止 VRRP报文 被用户侦听到， 而构造优先级高的 VRRP报文对路由器进行攻击， 增强网络安全 性， 保证业务的正常运行。 本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步驟可 以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读取存 储介质中， 该程序在执行时， 执行包括上述方法实施例的步驟； 而前述的存储 介质包括： R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。 最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其限 制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术人员 应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或者对其 中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技术方案的 本质脱离本发明各实施例技术方案的范围。

Claims

权利要求书

1、 一种接入设备上的报文处理方法， 其特征在于， 包括：

接入设备通过所述接入设备的第一网络端口接收网络侧的多播报文； 所述接入设备识别所述多播报文的协议类型；

如果识别到所述多播报文为虚拟路由冗余协议报文， 则根据用于虚拟路由 冗余协议报文转发的侦听端口列表将所述虚拟路由冗余协议报文通过所述接入 设备的第二网络端口发送给网络侧， 其中， 所述侦听端口列表记录有包括第一 网络端口和第二网络端口的端口信息；

如果识别到所述多播报文为非虚拟路由冗余协议报文， 则将所述非虚拟路 由冗余协议^艮文通过所述接入设备的用户端口发送给用户侧。

2、 根据权利要求 1所述的方法， 其特征在于， 如果识别到所述多播报文为 虚拟路由冗余协议 文， 所述方法还包括：

所述接入设备对所述虚拟路由冗余协议报文进行分析， 得到分析结果， 所 述分析结果包含虚拟路由器 IP、 虚拟路由器介质访问控制地址、 虚拟局域网标 识和接收到所述虚拟路由冗余协议报文的端口的信息；

判断所述分析结果与原转发表记录的内容进行匹配； 若不一致， 则根据所 述分析结果， 更新原转发表记录的转发表项。

3、 根据权利要求 2所述的方法， 其特征在于， 所述根据所述分析结果， 更 新原转发表记录的转发表项， 包括：

根据所述分析结果中的虚拟路由器 IP、 虚拟路由器介质访问控制地址、 虚 拟局域网标识和接收到所述虚拟路由冗余协议报文的第一网络端口的信息更新 二层转发表项；

根据所述虚拟路由器介质访问控制地址、 虚拟局域网标识和接收到所述虚 拟路由冗余协议报文的第一网络端口的信息更新三层转发表项。

4、 根据权利要求 2所述的方法， 其特征在于， 所述非虚拟路由冗余协议报 文包括地址解析协议报文， 所述方法还包括：

如果识别到所述多播报文为用于所述解析虚拟路由器 IP的地址解析协议报 文， 所述接入设备根据所述地址解析协议>¾文更新所述原转发表的转发表项。

5、 根据权利要求 2所述的方法， 其特征在于， 接入设备通过所述接入设备 的第一网络端口接收网络侧的多播报文之前还包括：

设置所述第一网络端口为禁止自动转发业务 文端口。

6、 一种接入设备， 其特征在于， 包括：

至少两个网络端口， 用于连接网络侧设备；

用户端口， 用于连接用户终端；

识别单元 , 用于识别从第一网络端口接收的多播报文的协议类型； 处理单元， 用于在所述多播报文为虚拟路由冗余协议报文时， 根据侦听端 口列表将所述虚拟路由冗余协议才艮文通过第二网络端口发送到网络侧； 在所述 多播报文为非虚拟路由冗余协议报文时 , 将所述非虚拟路由冗余协议报文通过 所述用户端口发送到用户侧； 其中， 所述侦听端口列表记录有包括第一网络端 口和第二网络端口的端口信息。

7、 根据权利要求 6所述的接入设备， 其特征在于， 所述处理单元还用于在 所述多播报文为地址解析协议报文时， 根据所述地址解析协议报文更新原转发 表记录的内容。

8、 根据权利要求 7所述的接入设备， 其特征在于， 所述处理单元还用于： 对所述虚拟路由冗余协议报文进行分析， 得到分析结果， 所述分析结果包含虚 拟路由器 IP、 虚拟路由器介质访问控制地址、 虚拟局域网标识和接收到所述虚 拟路由冗余协议报文的端口的信息， 判断所述分析结果与原转发表记录的内容 进行匹配， 若不一致， 则根据所述分析结果， 更新原转发表记录的二层转发表 项和三层转发表项。

9、 一种通信系统， 其特征在于， 包括接入设备， 所述接入设备上设置有第 一网络端口和第二网络端口； 所述接入设备， 用于通过第一网络端口接收网络侧的多播报文； 识别所述 多播报文的协议类型， 如果所述多播报文为虚拟路由冗余协议报文， 则根据侦 听端口列表将所述虚拟路由冗余协议报文通过第二网络端口发送到网络侧； 如 果所述多播 ^艮文为非虚拟路由冗余协议^艮文， 则将所述非虚拟路由冗余协议才艮 文通过用户端口发送到用户侧， 其中， 所述侦听端口列表记录有包括第一网络 端口和第二网络端口在内的端口信息。

10、 根据权利要求 9所述的通信系统， 其特征在于， 所述接入设备还用于， 在所述多播报文为地址解析协议报文时 , 根据所述地址解析协议报文更新原转 发表。